MuddyWaterの進展の兆しをDNSで発見

MuddyWaterは、政治的動機に基づく標的型攻撃を2012年から仕掛けているハッカー集団です。10年以上前から存在し、今も引退する気配を見せていません。

報告によると、MuddyWaterは最近、標的としたネットワークをより効果的に制御するためにC&Cフレームワークを更新し、PhonyC2としてローンチしました。¹ それだけではありません。彼らはまた、攻撃に関与していることを標的に覚らせないよう、DEV-10842と協力関係を結びました。²

Deep Instinctは最近の分析で、PhonyC2のIoCとして39個のプロパティを特定しました。他方、MuddyWater・DEV-1084間のパートナーシップについては、Microsoftが14個のIoCを公表しています。

WhoisXML APIではこれを受け、未確認の関連アーティファクトを明らかにするべく、自らの広範なDNSインテリジェンスを駆使してさらに調査を進めました。その結果、以下が判明しました。

• PhonyC2のIoCとして特定された一部のドメイン名が名前解決する3個のユニークなIPアドレス
• PhonyC2のIoCとされたドメイン名の専用IPホストを共用する3個のドメイン名
• PhonyC2のIoCとされたドメイン名と同じ文字列を含む152個のドメイン名
• PhonyC2のIoCとされたIPアドレスを使うドメイン名と同じ文字列を含む22個のドメイン名。そのうち2個はマルウェア一括チェックにより悪意あるドメイン名と確認
• MuddyWater・DEV-1084のIoCとして特定された一部のドメイン名が名前解決する3個のユニークなIPアドレス
• MuddyWater・DEV-1084のIoCとされたドメイン名の専用ホストを共用する294個のドメイン名。そのうち1個はマルウェア一括チェックにより悪意あるドメイン名と確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

—

• [1] https://www.deepinstinct.com/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater
• [2] https://www.microsoft.com/en-us/security/blog/2023/04/07/mercury-and-dev-1084-destructive-attack-on-hybrid-environment/